Adressen

Wie Sie schon aus einigen Artikeln herausgelesen haben, ist es notwendig, Nachrichten in einem Netzwerk zu segmentieren. Aber diese segmentierten Nachrichten werden nirgendwo hingehen, wenn sie nicht richtig adressiert werden. Dieses Thema gibt einen Überblick über die Netzwerkadressen. Sie werden auch die Möglichkeit haben, das Wireshark-Tool zu benutzen, das Ihnen hilft, den Netzwerkverkehr zu "sehen".

Die Vermittlungs- und Sicherungsschichten sind für die Lieferung der Daten vom Quellgerät zum Zielgerät verantwortlich. Hierzu enthalten die Protokolle auf beiden Schichten eine Quell- und eine Zieladresse, aber ihre Adressen haben unterschiedliche Zwecke:

• Quell- und Zieladressen der Vermittlungsschicht - Verantwortlich für die Zustellung des IP-Pakets von der ursprünglichen Quelle zum endgültigen Ziel, das sich im selben Netzwerk oder in einem entfernten Netzwerk befinden kann.

• Quell- und Zieladressen der Sicherungsschicht - Verantwortlich für die Zustellung des Datenübertragungsrahmens von einer Netzwerkkarte (NIC) zu einer anderen NIC im selben Netzwerk.

Hierbei erfüllen die verschiedenen Layer - Schichten 1-7 - diverse Aufgaben, bzw. Modalitäten: 

• Layer 1, Physical (Bitübertragungsschicht):

           Zeit- und Synchronisationsbits

• Layer 2, Data Link (Sicherungsschicht):

           Physische Ziel- und Quelladressen

• Layer 3, Network (Vermittlungsschicht):

           Logische Ziel- und Quell-Netzwerkadressen      

• Layer 4, Transport (Transportschicht): 

           Ziel- und Quell-Prozessnummer (Ports)

• Obere Schichten Layer 5-7:

           Verschlüsselte Anwendungsschicht

Schicht 3 Logische Adresse

Eine IP-Adresse ist die logische Adresse der Vermittlungsschicht oder Schicht 3, Layer 3, die verwendet wird, um das IP-Paket von der ursprünglichen Quelle zum endgültigen Ziel zu liefern.

Das IP-Paket enthält zwei IP-Adressen:

• Quell-IP-Adresse - Die IP-Adresse des sendenden Geräts, die die ursprüngliche Quelle des Pakets ist.
• Ziel-IP-Adresse - Die IP-Adresse des empfangenden Geräts, die das endgültige Ziel des Pakets ist.

Die IP-Adressen geben die ursprüngliche Quell-IP-Adresse und die endgültige Ziel-IP-Adresse an. Dies gilt unabhängig davon, ob sich Quelle und Ziel im selben IP-Netzwerk oder in unterschiedlichen IP-Netzwerken befinden.

Eine IP-Adresse besteht aus zwei Teilen:

• Netzwerkteil (IPv4) oder Präfix (IPv6) - Der ganz linke Teil der Adresse, der das Netzwerk angibt, in dem die IP-Adresse ein Mitglied ist. Alle Geräte im gleichen Netzwerk haben den gleichen Netzwerkteil der Adresse.
• Host-Teil (IPv4) oder Interface-ID (IPv6) - Der verbleibende Teil der Adresse, der ein bestimmtes Gerät im Netzwerk identifiziert. Dieser Teil ist für jedes Gerät oder jede Schnittstelle im Netzwerk eindeutig.

Somit wird die Subnetzmaske (IPv4) oder Präfix-Länge (IPv6) verwendet, um den Netzwerkteil einer IP-Adresse vom Host-Teil zu identifizieren.

Geräte im selben Netzwerk
In diesem Beispiel haben wir fiktiv einen Client-Computer, PC1, der mit einem FTP-Server im selben IP-Netzwerk kommuniziert.

• Quell-IPv4-Adresse - Die IPv4-Adresse des sendenden Geräts, des Client-Computers PC1: 192.168.1.3.
• Ziel-IPv4-Adresse - Die IPv4-Adresse des empfangenden Geräts, des FTP-Servers: 192.168.1.8.

Hierbei gilt es zu beachten, dass sich der Netzwerkteil sowohl der Quell-IPv4-Adresse als auch der Ziel-IPv4-Adresse im selben Netzwerk befindet.

Hierbei ist wichtig, dass der Netzwerkteil der IPv4-Quelladresse und der Netzwerkteil der IPv4-Zieladresse identisch sind und sich Quelle und Ziel im selben Netzwerk befinden.

Möchten Sie eine App entwickeln mit sicherer Verbindung?

Als kompetente und prädestinierte App-Agentur in München sind wir ihr Ansprechpartner für Sie, wenn es um die Entwicklung von professionellen Apps geht.

Wir wissen wie wichtig die Verbindung von einem Client zum Server bei Software-Anwendungen ist, deshalb haben wir uns hierauf spezialisiert.

Wir freuen uns auf Ihren Anruf unter der Rufnummer 0176 75 19 18 18 oder ihre Kontaktaufnahme via E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.

Standards der physikalischen Schicht

In Bezug auf die Bitübertragungsschicht - ergo Layer 1 (Physical) haben Sie schon einiges gehört und gelernt, wie der Platz dieser Schicht in einem Netzwerk konstituiert ist. 

Dieses Thema taucht etwas tiefer in die Besonderheiten der physikalischen Schicht ein. Dazu gehören die Komponenten und die Medien, die zum Aufbau eines Netzwerks verwendet werden, sowie die Standards, die erforderlich sind, damit alles zusammen funktioniert.

Die Protokolle und Operationen der oberen OSI-Schichten werden mit Software ausgeführt, die von Software-Ingenieuren und Informatikern entworfen wurde. Die Dienste und Protokolle in der TCP/IP-Suite werden von der Internet Engineering Task Force (IETF) definiert.

Die physikalische Schicht besteht aus elektronischen Schaltkreisen, Medien und Konnektoren, die von Ingenieuren entwickelt wurden. Daher ist es angebracht, dass die Normen für diese Hardware von den entsprechenden Organisationen der Elektro- und Nachrichtentechnik definiert werden.

Es gibt viele verschiedene internationale und nationale Organisationen, behördliche Regierungsorganisationen und private Unternehmen, die an der Festlegung und Aufrechterhaltung von Standards für die physikalische Schicht beteiligt sind. Beispielsweise werden die Standards für die Hardware der physischen Schicht, die Medien, die Kodierung und die Signalisierung durch diese Normungsorganisationen definiert und geregelt:

• International Organization for Standardization (ISO)

            Internationale Organisation für Normung (ISO)

• Telecommunications Industry Association/Electronic Industries Association (TIA/EIA)

            Telekommunikationsindustrie/Elektronikindustrieverband (TIA/EIA)

• International Telecommunication Union (ITU)

            Internationale Fernmeldeunion (ITU)

• American National Standards Institute (ANSI)

           Amerikanisches Nationales Institut für Normung (ANSI)

• Institute of Electrical and Electronics Engineers (IEEE)

            Institut für Elektro- und Elektronikingenieure (IEEE)

• National telecommunications regulatory authorities including the Federal Communication Commission (FCC) in the USA and the European Telecommunications Standards Institute (ETSI)

            Nationale Regulierungsbehörden für Telekommunikation einschließlich der Federal Communication Commission (FCC) in den USA und des Europäischen Instituts für

            Telekommunikationsnormen (ETSI)

Darüber hinaus gibt es häufig regionale Verkabelungsnormengruppen wie CSA (Canadian Standards Association), CENELEC (European Committee for Electrotechnical Standardization) und JSA/JIS (Japanese Standards Association), die lokale Spezifikationen entwickeln.

Physikalische Komponenten

Die Standards der physikalischen Schicht beziehen sich auf drei Funktionsbereiche:

• Physikalische Komponenten
• Kodierung
• Signalisierung
• Physikalische Komponenten

Die physischen Komponenten sind die elektronischen Hardware-Geräte, Medien und andere Konnektoren, die die Signale übertragen, die die Bits repräsentieren. Hardwarekomponenten wie NICs, Schnittstellen und Konnektoren, Kabelmaterialien und Kabeldesigns werden alle in Standards spezifiziert, die mit der physikalischen Schicht verbunden sind. 

Kodierung

Codierung oder Zeilencodierung ist eine Methode zur Umwandlung eines Stroms von Datenbits in einen vordefinierten "Code". Codes sind Gruppierungen von Bits, die verwendet werden, um ein vorhersehbares Muster bereitzustellen, das sowohl vom Sender als auch vom Empfänger erkannt werden kann. Mit anderen Worten: Kodierung ist die Methode oder das Muster, das zur Darstellung digitaler Informationen verwendet wird. Dies ähnelt der Art und Weise, wie im Morsealphabet eine Nachricht mit einer Reihe von Punkten und Strichen kodiert wird.

Zum Beispiel stellt die Manchester-Codierung ein 0-Bit durch einen Übergang von hoher zu niedriger Spannung dar, und ein 1-Bit wird als Übergang von niedriger zu hoher Spannung dargestellt.  Der Übergang erfolgt in der Mitte jeder Bitperiode. Diese Art der Kodierung wird im 10-Mbit/s-Ethernet verwendet. Schnellere Datenraten erfordern eine komplexere Kodierung. Die Manchester-Kodierung wird in älteren Ethernet-Standards wie 10BASE-T verwendet. Ethernet 100BASE-TX verwendet 4B/5B-Kodierung und 1000BASE-T verwendet 8B/10B-Kodierung.

Sie haben Fragen in Bezug auf Ihr Netzwerk oder der IT im Allgmeinen?

Als professionelles und prädestiniertes IT-Systemhaus in München sind wir exakt der richtige Ansprechpartner für Sie, wenn es um die Frage des Netzwerkes oder der geeigneten IT-Infrastruktur bei Ihnen geht. 

Wir freuen uns auf Ihren Anruf unter der Rufnummer 0176 75 19 18 18 oder via E-Mail an: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.

Segmentierung von Nachrichten

Die Kenntnis des OSI-Referenzmodells und des TCP/IP-Protokollmodells wird sich als nützlich erweisen, wenn Sie erfahren, wie Daten auf ihrem Weg durch ein Netzwerk gekapselt werden. Es ist nicht so einfach wie ein physischer Brief, der über das Mailsystem verschickt wird.

Theoretisch könnte eine einzelne Kommunikation, wie z.B. ein Video oder eine E-Mail-Nachricht mit vielen großen Anhängen, als ein massiver, ununterbrochener Bitstrom über ein Netzwerk von einer Quelle zu einem Ziel gesendet werden. Dies würde jedoch Probleme für andere Geräte verursachen, die dieselben Kommunikationskanäle oder Links verwenden müssen. Diese großen Datenströme würden zu erheblichen Verzögerungen führen. Außerdem würde bei einem Ausfall einer Verbindung in der zusammengeschalteten Netzwerkinfrastruktur während der Übertragung die gesamte Nachricht verloren gehen und müsste vollständig neu übertragen werden.

Ein besserer Ansatz besteht darin, die Daten in kleinere, leichter zu handhabende Stücke zu unterteilen, die über das Netzwerk gesendet werden können. Bei der Segmentierung wird ein Datenstrom für die Übertragung über das Netzwerk in kleinere Einheiten aufgeteilt. Die Segmentierung ist notwendig, weil Datennetzwerke die TCP/IP-Protokollsuite verwenden und Daten in einzelnen IP-Paketen senden. Jedes Paket wird separat verschickt, ähnlich wie ein langer Brief als eine Reihe einzelner Postkarten. Pakete, die Segmente für dasselbe Ziel enthalten, können über verschiedene Pfade gesendet werden.

Dies führt dazu, dass die Segmentierung von Nachrichten zwei Hauptvorteile hat:

• Erhöhte Geschwindigkeit - Da ein großer Datenstrom in Pakete segmentiert wird, können große Datenmengen über das Netzwerk gesendet werden, ohne eine Kommunikationsverbindung zu binden. Dadurch können viele verschiedene Gespräche im Netzwerk verschachtelt werden, was als Multiplexing bezeichnet wird.
• Erhöht die Effizienz - Wenn ein einzelnes Segment aufgrund eines Netzwerkfehlers oder einer Netzwerküberlastung sein Ziel nicht erreicht, muss nur dieses Segment erneut übertragen werden, anstatt den gesamten Datenstrom erneut zu senden. 

Sequenzierung

Die Herausforderung bei der Verwendung von Segmentierung und Multiplexing zur Übertragung von Nachrichten über ein Netzwerk liegt in der Komplexität, die dem Prozess hinzugefügt wird. Stellen Sie sich vor, Sie müssten einen 1000-seitigen Brief versenden, aber jeder Umschlag könnte nur eine Seite enthalten. Daher wären 1000 Umschläge erforderlich, und jeder Umschlag müsste einzeln adressiert werden. Es ist möglich, dass der 1000-seitige Brief in 1000 verschiedenen Umschlägen nicht in der richtigen Reihenfolge eintrifft. Folglich müssten die Informationen im Umschlag eine laufende Nummer enthalten, um sicherzustellen, dass der Empfänger die Seiten in der richtigen Reihenfolge wieder zusammensetzen kann.

Bei der Netzwerkkommunikation muss jedes Segment der Nachricht einen ähnlichen Prozess durchlaufen, um sicherzustellen, dass es an den richtigen Bestimmungsort gelangt und wieder in den Inhalt der ursprünglichen Nachricht eingefügt werden kann, wie in der Abbildung gezeigt. TCP ist für die Sequenzierung der einzelnen Segmente verantwortlich.

Suchen Sie eine App Agentur?

Als professionelle App Agentur in München entwickeln wir ihnen erstklassige Apps für ihre Vorhaben. Egal ob Sie eine Nachrichten-App entwickeln möchten oder andere Projekte im Kopf haben. 

Wir freuen uns auf Ihren Anruf unter der Rufnummer 0176 75 19 18 18 oder via E-Mail an: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.

Kleine Netzwerk-Topologien

Die Mehrheit der Unternehmen ist klein; daher ist es nicht überraschend, dass die Mehrheit der Unternehmensnetzwerke ebenfalls klein ist.

Ein kleines Netzwerkdesign ist in der Regel einfach. Die Anzahl und Art der enthaltenen Geräte sind im Vergleich zu einem größeren Netzwerk deutlich reduziert.

Dieses kleine Netzwerk erfordert einen Router, einen Switch und einen drahtlosen Zugangspunkt, um drahtgebundene und drahtlose Benutzer, ein IP-Telefon, einen Drucker und einen Server zu verbinden. Kleine Netzwerke verfügen in der Regel über eine einzige WAN-Verbindung, die über DSL, Kabel oder eine Ethernet-Verbindung bereitgestellt wird.

Große Netzwerke erfordern eine IT-Abteilung zur Wartung, Sicherung und Fehlerbehebung von Netzwerkgeräten und zum Schutz von Unternehmensdaten. Die Verwaltung eines kleinen Netzwerks erfordert viele der gleichen Fähigkeiten, die für die Verwaltung eines größeren Netzwerks erforderlich sind. Kleine Netzwerke werden von einem lokalen IT-Techniker oder einem beauftragten Fachmann verwaltet.

Geräteauswahl für ein kleines Netzwerk

Wie große Netzwerke erfordern auch kleine Netzwerke Planung und Design, um den Anforderungen der Benutzer gerecht zu werden. Die Planung stellt sicher, dass alle Anforderungen, Kostenfaktoren und Bereitstellungsoptionen gebührend berücksichtigt werden.

Eine der ersten Designüberlegungen ist die Art der Zwischengeräte, die zur Unterstützung des Netzwerks verwendet werden sollen.

Kosten

Die Kosten eines Switches oder Routers werden durch dessen Kapazität und Funktionen bestimmt. Dazu gehören die Anzahl und Typen der verfügbaren Ports und die Geschwindigkeit der Backplane. Andere Faktoren, die sich auf die Kosten auswirken, sind Netzwerkmanagementfunktionen, eingebettete Sicherheitstechnologien und optionale fortschrittliche Switching-Technologien. Die Kosten für die Kabelwege, die für den Anschluss jedes Geräts im Netzwerk erforderlich sind, müssen ebenfalls berücksichtigt werden. Ein weiteres Schlüsselelement, das sich auf die Kostenerwägungen auswirkt, ist der Umfang der in das Netzwerk einzubauenden Redundanz.

Geschwindigkeit und Arten von Ports/Schnittstellen

Die Auswahl der Anzahl und Art der Ports eines Routers oder Switches ist eine sehr wesentliche Entscheidung. Neuere Computer haben eingebaute 1-Gbit/s-NICs. Einige Server verfügen möglicherweise sogar über 10-Gbit/s-Ports. Obwohl es teurer ist, ermöglicht die Wahl von Layer-2-Geräten, die höhere Geschwindigkeiten aufnehmen können, eine Weiterentwicklung des Netzwerks, ohne dass zentrale Geräte ersetzt werden müssen.

Erweiterbarkeit

Netzwerkgeräte sind in festen und modularen physischen Konfigurationen erhältlich. Geräte mit fester Konfiguration haben eine bestimmte Anzahl und Art von Anschlüssen oder Schnittstellen und können nicht erweitert werden. Modulare Geräte verfügen über Erweiterungssteckplätze, um bei sich ändernden Anforderungen neue Module hinzuzufügen. Switches sind mit zusätzlichen Ports für Hochgeschwindigkeits-Uplinks erhältlich. Router können zur Verbindung verschiedener Arten von Netzwerken verwendet werden. Es muss darauf geachtet werden, die geeigneten Module und Schnittstellen für die spezifischen Medien auszuwählen.

Funktionen und Dienste des Betriebssystems

Netzwerkgeräte müssen über Betriebssysteme verfügen, die die Anforderungen der Organisation wie die folgenden unterstützen können:

• • Layer-3-Switching
  • Netzwerk-Adressübersetzung (NAT)
  • Dynamisches Host-Konfigurationsprotokoll (DHCP)
  • Sicherheit
  • Dienstqualität (QoS)
  • Sprachübertragung über IP (VoIP)

Sie haben Fragen bezüglich der Komponenten Ihres Netzwerkes?

Als professionelles und bekanntes IT-Systemhaus in München sind wir genau der richtige Ansprechpartner für Sie, wenn es sich dabei um das Thema IT und das damit verbundene Netzwerk handelt. 

Wir freuen uns auf Ihren Anruf unter der Rufnummer 0176 75 19 18 18 oder via E-Mail an: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.

Richtlinien-Schwachstellen

Suchen Sie eine App Agentur für ihre Netzwerk App? 

Als etablierte App Agentur bieten wir ihnen die Entwicklung von Software für mobile Endgeräte an. Vielleicht wünschen Sie sich eine App, welche mit ihrem Unternehmensnetzwerk eine Verbindung herstellt und Sie so jederzeit zu ihren Unternehmensressourcen zugreifen können?

Wir helfen ihnen bei der Realisierung von komplexen Netzwerk-Anwendungen für die Betriebssysteme iOS, iPadOS und Android. Schicken Sie uns ihre Projekt Anfrage via Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! oder Rufen Sie uns direkt unter 0176 75191818  an!

Arten von Bedrohungen in Bezug auf das Netzwerk

Drahtgebundene und drahtlose Computernetzwerke sind für alltägliche Aktivitäten unerlässlich. Einzelpersonen und Organisationen sind von ihren Computern und Netzwerken abhängig. Das Eindringen einer nicht autorisierten Person kann zu kostspieligen Netzwerkausfällen und Arbeitsausfällen führen. Angriffe auf ein Netzwerk können verheerend sein und zu Zeit- und Geldverlusten durch Beschädigung oder Diebstahl wichtiger Informationen oder Vermögenswerte führen.

Eindringlinge können sich durch Software-Schwachstellen, Hardware-Angriffe oder durch das Erraten des Benutzernamens und Passworts einer Person Zugang zu einem Netzwerk verschaffen. Eindringlinge, die sich Zugang verschaffen, indem sie Software modifizieren oder Software-Schwachstellen ausnutzen, werden als Bedrohungsakteure bezeichnet.

Nachdem der Bedrohungsakteur Zugang zum Netzwerk erlangt hat, können vier Arten von Bedrohungen auftreten.

1. Informationsdiebstahl
2. Datenverlust und -manipulation
3. Identitätsdiebstahl
4. Unterbrechung des Dienstes

Informationsdiebstahl ist Einbruch in einen Computer, um an vertrauliche Informationen zu gelangen. Informationen können für verschiedene Zwecke verwendet oder verkauft werden. Beispiel: Diebstahl von proprietären Informationen einer Organisation, wie z.B. Forschungs- und Entwicklungsdaten.

Datenverlust und -manipulation ist das Eindringen in einen Computer, um Datensätze zu zerstören oder zu verändern. Ein Beispiel für Datenverlust ist ein Bedrohungsakteur, der einen Virus sendet, der eine Computerfestplatte neu formatiert. Ein Beispiel für Datenmanipulation ist der Einbruch in ein Aufzeichnungssystem, um Informationen, wie z.B. den Preis eines Artikels, zu ändern.

Identitätsdiebstahl ist eine Form des Informationsdiebstahls, bei der persönliche Informationen mit dem Ziel gestohlen werden, die Identität einer Person zu übernehmen. Mit Hilfe dieser Informationen kann sich ein Bedrohungsakteur legale Dokumente beschaffen, einen Kredit beantragen und nicht autorisierte Online-Käufe tätigen. Der Identitätsdiebstahl ist ein wachsendes Problem, das jedes Jahr Milliarden von Dollar kostet.

Die Unterbrechung des Dienstes hindert rechtmäßige Nutzer daran, auf die ihnen zustehenden Dienste zuzugreifen. Beispiele: Denial-of-Service (DoS)-Angriffe auf Server, Netzwerkgeräte oder Netzwerkkommunikationsverbindungen.

Arten von Schwachstellen

Verwundbarkeit ist der Grad der Schwäche in einem Netzwerk oder einem Gerät. Ein gewisses Maß an Verwundbarkeit ist Routern, Switches, Desktops, Servern und sogar Sicherheitsgeräten inhärent. In der Regel handelt es sich bei den angegriffenen Netzwerkgeräten um die Endpunkte, wie z.B. Server und Desktop-Computer.

Es gibt drei primäre Schwachstellen oder Schwächen: Technologie, Konfiguration und Sicherheitsrichtlinien. Alle drei dieser Quellen von Schwachstellen können ein Netzwerk oder Gerät für verschiedene Angriffe offen lassen, einschließlich Angriffe mit bösartigem Code und Netzwerkangriffe.

Haben Sie Fragen zum Thema Sicherheit in Ihrem Netzwerk?

Als professionelles und bekanntes IT Unternehmen in München sind wir genau der richtige Ansprechpartner für Sie, wenn es um das Thema IT im Allgemeinen sowie im Speziellen geht. 

Langjährige Erfahrung und ausgezeichnete Expertise zeichnen unser IT-Systemhaus in München aus. 

Wir freuen uns auf Ihren Anruf unter der Rufnummer 0176 75 19 18 18 oder via E-Mail an: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!. 

SLAAC-Übersicht

Nicht jedes Netzwerk hat Zugang zu einem DHCPv6-Server. Aber jedes Gerät in einem IPv6-Netzwerk benötigt einen GUA. Die SLAAC-Methode ermöglicht es Hosts, ihre eigene eindeutige globale IPv6-Unicast-Adresse ohne die Dienste eines DHCPv6-Servers zu erstellen.

SLAAC ist ein zustandsloser Dienst. Das bedeutet, dass es keinen Server gibt, der Netzwerkadressinformationen verwaltet, um zu wissen, welche IPv6-Adressen verwendet werden und welche verfügbar sind.

SLAAC verwendet ICMPv6-RA-Nachrichten, um Adressierungs- und andere Konfigurationsinformationen bereitzustellen, die normalerweise von einem DHCP-Server bereitgestellt werden würden. Ein Host konfiguriert seine IPv6-Adresse auf der Grundlage der Informationen, die in der RA gesendet werden. RA-Nachrichten werden von einem IPv6-Router alle 200 Sekunden gesendet.

Ein Host kann auch eine Router Solicitation (RS)-Nachricht senden, in der angefordert wird, dass ein IPv6-fähiger Router dem Host eine RA sendet.

SLAAC kann als reines SLAAC oder als SLAAC mit DHCPv6 bereitgestellt werden. In einem vorherigen Artikel wurden hier genannte Akronyme erläutert. Anbei der folgende Link dazu: ICMP.

Switching im Netzwerk

Das Konzept der Vermittlungs- und Weiterleitungsrahmen ist in der Netzwerk- und Telekommunikation universell. Verschiedene Arten von Switches werden in LANs, WANs und im öffentlichen Telefonnetz (PSTN) verwendet.

Die Entscheidung darüber, wie ein Switch den Verkehr weiterleitet, basiert auf dem Fluss dieses Verkehrs. Es gibt zwei Begriffe im Zusammenhang mit Frames, die in eine Schnittstelle eintreten und diese verlassen:

• Ingress - Damit wird der Port beschrieben, an dem ein Frame in das Gerät eintritt.
• Egress - Dies wird zur Beschreibung des Ports verwendet, den Frames beim Verlassen des Geräts verwenden werden.

Ein LAN-Switch verwaltet eine Tabelle, auf die bei der Weiterleitung von Datenverkehr durch den Switch verwiesen wird. Die einzige Intelligenz eines LAN-Switch ist seine Fähigkeit, seine Tabelle zur Weiterleitung von Verkehr zu verwenden. Ein LAN-Switch leitet Verkehr basierend auf dem Eingangsport und der Ziel-MAC-Adresse eines Ethernet-Frames weiter. Bei einem LAN-Switch gibt es nur eine Master-Switching-Tabelle, die eine strikte Zuordnung zwischen MAC-Adressen und Ports beschreibt; daher verlässt ein Ethernet-Frame mit einer bestimmten Zieladresse immer denselben Ausgangsport, unabhängig vom Eingangsport, in den er eintritt. Ein Ethernet-Frame wird niemals von demselben Port nach außen weitergeleitet, von dem er empfangen wurde.

Die Switch-MAC-Adresstabelle
Ein Switch besteht aus integrierten Schaltungen und der zugehörigen Software, die die Datenpfade durch den Switch steuert. Switches verwenden Ziel-MAC-Adressen, um die Netzwerkkommunikation durch den Switch über den entsprechenden Port zum Zielort zu leiten.

Damit ein Switch wissen kann, welcher Port zur Übertragung eines Frames zu verwenden ist, muss er zunächst erfahren, welche Geräte an jedem Port vorhanden sind. Wenn der Switch die Beziehung zwischen Ports und Geräten lernt, baut er eine Tabelle auf, die als MAC-Adresstabelle bezeichnet wird. Diese Tabelle wird in einem inhaltsadressierbaren Speicher (CAM) gespeichert, einem speziellen Speichertyp, der in High-Speed-Suchanwendungen verwendet wird. Aus diesem Grund wird die MAC-Adresstabelle manchmal auch als CAM-Tabelle bezeichnet.

LAN-Switches bestimmen, wie mit eingehenden Datenrahmen umgegangen wird, indem sie die MAC-Adresstabelle pflegen. Ein Switch füllt seine MAC-Adresstabelle, indem er die Quell-MAC-Adresse jedes Geräts aufzeichnet, das an jeden seiner Ports angeschlossen ist. Der Switch verweist auf die Informationen in der MAC-Adresstabelle, um für ein bestimmtes Gerät bestimmte Frames aus dem diesem Gerät zugewiesenen Port zu senden.

Sie benötigen professionelle Hilfe rund um das Thema IT?

Wir bieten Ihnen als IT-Systemhaus in München, rund um das Thema IT, professionelle sowie individuelle Lösungen kostengünstig an. Lassen Sie sich von unseren IT-Experten unverbindlich beraten und überzeugen Sie sich von der Expertise und langjähriger Erfahrung unserer fachlich kompetenten Mitarbeiter. Wir freuen uns auf Ihren Anruf unter der Rufnummer 0176 75 19 18 18 oder via E-Mail an: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!. Ihr IT-Systemhaus in München. 

Überblick über Wireless-Sicherheit

Ein WLAN steht allen Personen offen, die sich innerhalb der Reichweite eines APs befinden und über die entsprechenden Berechtigungsnachweise verfügen, um sich mit ihm zu verbinden. Mit einer drahtlosen Netzwerkkarte und Kenntnissen über Knackverfahren muss ein Angreifer möglicherweise nicht physisch den Arbeitsplatz betreten, um Zugang zu einem WLAN zu erhalten.

Angriffe können von Außenstehenden, verärgerten Mitarbeitern und sogar unbeabsichtigt von Mitarbeitern ausgehen. Drahtlose Netzwerke sind besonders anfällig für verschiedene Bedrohungen, darunter

• Abfangen von Daten - Drahtlose Daten sollten verschlüsselt werden, um zu verhindern, dass sie von Lauschangreifern gelesen werden können.
• Drahtlose Eindringlinge - Unbefugte, die versuchen, auf Netzwerkressourcen zuzugreifen, können durch wirksame Authentifizierungstechniken abgeschreckt werden.
• Denial-of-Service (DoS)-Angriffe - Der Zugang zu WLAN-Diensten kann entweder versehentlich oder böswillig kompromittiert werden. Abhängig von der Quelle des DoS-Angriffs gibt es verschiedene Lösungen.
• Rogue APs(Access Points) - Nicht autorisierte APs, die von einem gutwilligen Benutzer oder zu böswilligen Zwecken installiert wurden, können mit Hilfe von Verwaltungssoftware erkannt werden.

DoS-Angriffe

Drahtlose DoS-Angriffe können die Folge davon sein:

• Unsachgemäß konfigurierte Geräte - Konfigurationsfehler können das WLAN deaktivieren. Beispielsweise könnte ein Administrator versehentlich eine Konfiguration ändern und das Netzwerk deaktivieren, oder ein Eindringling mit Administratorrechten könnte absichtlich ein WLAN deaktivieren.
• Ein böswilliger Benutzer greift absichtlich in die drahtlose Kommunikation ein - Ihr Ziel ist es, das drahtlose Netzwerk vollständig oder so weit zu deaktivieren, dass kein legitimes Gerät auf das Medium zugreifen kann.
• Versehentliche Störungen - WLANs sind anfällig für Störungen durch andere drahtlose Geräte wie Mikrowellenherde, schnurlose Telefone und beispielsweise Babyphone. Das 2,4-GHz-Band ist anfälliger für Interferenzen als das 5-GHz-Band.

Rogue Access Points

Ein Rogue-AP ist ein AP oder drahtloser Router, der ohne ausdrückliche Genehmigung und entgegen den Unternehmensrichtlinien mit einem Unternehmensnetzwerk verbunden wurde. Jeder, der Zugang zu den Räumlichkeiten hat, kann (böswillig oder nicht böswillig) einen kostengünstigen drahtlosen Router installieren, der möglicherweise den Zugang zu einer sicheren Netzwerkressource ermöglicht.

Sobald die Verbindung hergestellt ist, kann der Rogue-AP von einem Angreifer dazu benutzt werden, MAC-Adressen zu erfassen, Datenpakete zu sammeln, Zugang zu Netzwerkressourcen zu erlangen oder einen Man-in-the-Middle-Angriff zu starten.

Ein persönlicher Netzwerk-Hotspot könnte auch als Rogue-AP genutzt werden. Beispielsweise ermöglicht ein Benutzer mit sicherem Netzwerkzugang seinem autorisierten Windows-Host, ein Wi-Fi-AP zu werden. Auf diese Weise werden die Sicherheitsmaßnahmen umgangen, und andere nicht autorisierte Geräte können nun als gemeinsam genutztes Gerät auf Netzwerkressourcen zugreifen.

Um die Installation von Rogue-APs zu verhindern, müssen Organisationen WLCs mit Rogue-AP-Richtlinien konfigurieren und Überwachungssoftware verwenden, um das Funkspektrum aktiv auf nicht autorisierte APs zu überwachen.

Man-in-the-Middle-Angriff

Bei einem Man-in-the-Middle-Angriff (MITM-Angriff) befindet sich der Hacker zwischen zwei legitimen Einheiten, um die Daten, die zwischen den beiden Parteien ausgetauscht werden, zu lesen oder zu verändern. Es gibt viele Möglichkeiten, einen MITM-Angriff durchzuführen.

Ein beliebter drahtloser MITM-Angriff wird als "evil twin AP"-Angriff bezeichnet, bei dem ein Angreifer einen betrügerischen AP einführt und ihn mit derselben SSID wie einen legitimen AP konfiguriert. Standorte mit kostenlosem Wi-Fi, wie Flughäfen, Cafés und Restaurants, sind aufgrund der offenen Authentifizierung besonders beliebte Orte für diese Art von Angriffen. 

Drahtlose Clients, die versuchen, sich mit einem WLAN zu verbinden, würden zwei APs mit derselben SSID sehen, die drahtlosen Zugang bieten. Diejenigen, die sich in der Nähe des betrügerischen AP befinden, sehen das stärkere Signal und assoziieren sich höchstwahrscheinlich mit ihm. Der Nutzerverkehr wird nun an den Rogue-AP gesendet, der wiederum die Daten erfasst und an den legitimen AP weiterleitet. Der Datenverkehr, welcher zurückfließt, wird vom legitimen AP an den Rogue-AP gesendet, erfasst und dann an den ahnungslosen User weitergeleitet. Der Angreifer kann die Passwörter und persönlichen Daten des Benutzers stehlen, sich Zugang zu seinem Gerät verschaffen und das System kompromittieren.

Suchen Sie eine App Agentur? 

Als etablierte App Agentur bieten wir ihnen die Entwicklung von Software für mobile Endgeräte an. Vielleicht wünschen Sie sich eine App, welche mit ihrem Unternehmensnetzwerk eine Verbindung herstellt und Sie so jederzeit zu ihren Unternehmensressourcen zugreifen können?

Wir helfen ihnen bei der Realisierung von komplexen Netzwerk-Anwendungen für die Betriebssysteme iOS, iPadOS und Android. Schicken Sie uns ihre Projekt Anfrage via Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! oder Rufen Sie uns direkt unter 0176 75191818  an!

Arten von VLANs

VLANs werden in modernen Netzwerken aus verschiedenen Gründen verwendet. Einige VLAN-Typen sind durch Datenverkehrsklassen definiert. Andere VLAN-Typen werden durch die spezifische Funktion definiert, der sie dienen. Diese sind: 

• Default VLAN (Standard)
• Data VLAN (Daten)
• Native VLAN (Natives)
• Management VLAN (Management)
• Voice VLAN (Sprach)

Eine gute Möglichkeit, um Netzwerkadministration zu erlenen oder in diesem Fall mit VLANs zu trainieren ist, sich mit Packet Tracer von Cisco auseinanderzusetzen, um die Fähigkeiten und Kenntnisse zu vertiefen, bzw. sich darin zu beüben. 

Standard-VLAN

Das Standard-VLAN auf einem Cisco-Switch ist beispielsweise VLAN 1. Daher befinden sich alle Switch-Ports auf VLAN 1, es sei denn, es ist explizit für ein anderes VLAN konfiguriert. Standardmäßig ist der gesamte Layer-2-Steuerungsverkehr mit VLAN 1 verknüpft.

Zu den wichtigen Fakten zu VLAN 1 gehören die folgenden:

• Alle Ports sind standardmäßig VLAN 1 zugeordnet.
• Das systemeigene VLAN ist standardmäßig VLAN 1.
• Das Management-VLAN ist standardmäßig VLAN 1.
• VLAN 1 kann nicht umbenannt oder gelöscht werden.

In diesem Fall sind beispielsweise alle Ports dem Standard-VLAN 1 zugewiesen. Es wird kein natives VLAN explizit zugewiesen, und es sind keine anderen VLANs aktiv; daher ist das Netzwerk mit dem nativen VLAN genauso aufgebaut wie das Management-VLAN. Dies wird als Sicherheitsrisiko betrachtet.

Daten-VLAN

Daten-VLANs sind VLANs, die so konfiguriert sind, dass sie benutzergenerierten Verkehr trennen. Sie werden als Benutzer-VLANs bezeichnet, weil sie das Netzwerk in Gruppen von Benutzern oder Geräten trennen. Ein modernes Netzwerk würde je nach organisatorischen Anforderungen viele Daten-VLANs haben. Beachten Sie, dass Sprach- und Netzwerkverwaltungsverkehr in Daten-VLANs nicht erlaubt sein sollte.

Natives VLAN

Der Benutzer-Datenverkehrr von einem VLAN muss mit seiner VLAN-ID gekennzeichnet werden, wenn er an einen anderen Switch gesendet wird. Trunk-Ports werden zwischen Switches verwendet, um die Übertragung von markiertem Verkehr zu unterstützen. Konkret fügt ein 802.1Q-Trunk-Port ein 4-Byte-Tag in den Header des Ethernet-Rahmens ein, um das VLAN zu identifizieren, zu dem der Rahmen gehört.

Gegebenenfalls muss ein Switch auch unmarkierten Verkehr über einen Trunk-Anschluss senden. Ungekennzeichneter Datenverkehr wird von einem Switch erzeugt und kann auch von älteren Geräten stammen. Der 802.1Q-Trunk-Port platziert unmarkierten Datenverkehr auf dem nativen VLAN. Das systemeigene VLAN auf einem Cisco-Switch ist VLAN 1 (d. h. Standard-VLAN).

Es ist ein bewährtes Verfahren, das native VLAN als ungenutztes VLAN zu konfigurieren, das sich von VLAN 1 und anderen VLANs unterscheidet. Tatsächlich ist es nicht ungewöhnlich, ein festes VLAN für die Rolle des nativen VLAN für alle Trunk-Ports in der Switch-Domäne zu reservieren.

Management VLAN

Ein Management-VLAN ist ein Daten-VLAN, das speziell für den Netzwerk-Management-Verkehr einschließlich SSH, Telnet, HTTPS, HHTP und SNMP konfiguriert ist. Standardmäßig ist VLAN 1 als Management-VLAN auf einem Layer-2-Switch konfiguriert.

Sprach-VLAN

Für die Unterstützung von Voice over IP (VoIP) ist ein separates VLAN erforderlich. VoIP-Verkehr erfordert Folgendes:

• Gesicherte Bandbreite zur Gewährleistung der Sprachqualität
• Übertragungspriorität gegenüber anderen Arten von Netzwerkverkehr
• Möglichkeit, um überlastete Bereiche im Netzwerk zu kompensieren
• Verzögerung von weniger als 150 ms im gesamten Netzwerk

Um diese Anforderungen zu erfüllen, muss das gesamte Netzwerk so ausgelegt sein, dass es VoIP unterstützt.

Fassen wir kurz zusammen: 

• VLANs verbessern die Netzwerkleistung durch Segmentierung von Broadcast-Domänen.
• VLANs können die Sicherheit verbessern, indem sensible Daten vom Rest isoliert werden
• Der native VLAN-Typ, mit der Deklaration 802.1Q, wird für den ungetagten(unmarkierten) Datenverkehr verwendet, bzw. für die Trunk-Ports zugewiesen.
• Es ist keine bewährte Praxis, das native VLAN als VLAN 1 zu konfigurieren!

Besonderheiten bei VLAN 1: 

• Alle Switch-Ports sind standardmäßig VLAN zugewiesen.
• Das native VLAN ist standardmäßig VLAN 1.
• Das Management-VLAN ist standardmäßig VLAN 1.
• VLAN 1 kann nicht umbenannt oder gelöscht werden.

Sie benötigen professionelle Hilfe rund um das Thema IT?

Wir bieten Ihnen als IT-Systemhaus in München, rund um das Thema IT, professionelle sowie individuelle Lösungen kostengünstig an. Lassen Sie sich von unseren IT-Experten unverbindlich beraten und überzeugen Sie sich von der Expertise und langjähriger Erfahrung unserer fachlich kompetenten Mitarbeiter. Wir freuen uns auf Ihren Anruf unter der Rufnummer 0176 75 19 18 18 oder via E-Mail an: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!. Ihr IT-Systemhaus in München.